Datastor2021, DamaCrypt

Datastor2021 Ransomware

DamaCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов X25519 и ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Tencent ->
TrendMicro ->
---

© Генеалогия: родство выясняется.

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была во второй половине июня 2022 г., но мог быть активен и раньше. Ориентирован на турецкоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .damacrypt

Фактически используется составное расширение по шаблону: .<email>.damacrypt

Пример известного расширения: .datastor2021@gmail.com.damacrypt

Записка с требованием выкупа называется: DECRYPT.txt

Содержание записки о выкупе:

Tum dosyalar guclu algoritmalar X25519 ve ChaCha20 ile sifrelenir.

Bizimle datastor2021@gmail.com e-posta yoluyla iletisime gecin.

Kimliginiz: QaQ3JkaALq1PinBtwbJ4M3fjsY2gTLzTTmbYZbSm-XI*datastor2021@gmail.com.damacrypt

Bitcoin'le sifre cozme icin odeme yapmanız gerekir. Fiyat, bizimle ne kadar hızlı iletisim kurdugunuza baglıdır.

odeme isleminden sonra size sifre cozme aracını gonderecegiz.

sifre cozme garantimiz nedir?

odemeden once bize ucretsiz sifre cozme icin 3 adede kadar test dosyası gonderebilirsiniz. Dosyaların toplam boyutu 2Mb'den az (arsivlenmemis) olmalı ve dosyalar degerli bilgiler (veritabanları, yedekler, buyuk excel sayfaları vb.) icermemelidir

Dikkat!

sifreyi cozmeden once herhangi bir para odemeyin. dosyaları test edin.

Hicbir aracıya GuVENMEYİN. size yardım etmeyecekler ve dolandırıcılık kurbanı olabilirsiniz. bize e-posta gondermeniz yeterlidir, size her adımda yardımcı oluruz.

Diger e-postaları yanıtlamayın. YALNIZCA bu e-posta size yardımcı olabilir.

sifrelenmis dosyaları yeniden adlandırmayın.

ucuncu taraf yazılımları kullanarak verilerinizin sifresini cozmeye calısmayın, bu kalıcı veri kaybına neden olabilir.

Dosyalarınızın ucuncu kisilerin yardımıyla sifresinin cozulmesi taraflar fiyatın artmasına neden olabilir (ucretlerini bize eklerler) veya bir dolandırıcılıgın kurbanı olabilirsiniz.

Перевод записки на русский язык:

Все файлы зашифрованы мощными алгоритмами X25519 и ChaCha20.

Свяжитесь с нами по email datastor2021@gmail.com.

Ваш идентификатор: QaQ3JkaALq1PinBtwbJ4M3fjsY2gTLzTTmbYZbSm-XI*datastor2021@gmail.com.damacrypt

Вы должны заплатить за расшифровку биткойнами. Цена зависит от того, как быстро вы напишете нам.

После оплаты мы вышлем вам инструмент для расшифровки.

Какая наша гарантия расшифровки?

Вы можете отправить нам до 3-х тестовых файлов для бесплатной расшифровки перед оплатой. Общий размер файлов должен быть менее 2 Мб (без архива) и файлы не должны содержать ценной информации (базы данных, резервные копии, большие таблицы Excel и т. д.)

Внимание!

Не платите деньги до получения пароль расшифровки. Проверьте файлы.

НЕ доверяйте никаким агентам. Они не помогут и вы можете стать жертвой мошенничества. Просто отправьте нам email и мы поможем вам на каждом этапе.

Не отвечайте на другие письма. ТОЛЬКО этот email может помочь вам.

Не переименовывайте зашифрованные файлы.

Не пытайтесь расшифровать свои данные с помощью сторонних программ, так как это может привести к безвозвратной потере данных.

Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою цену к нашей) или вы можете стать жертвой мошенничества.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: datastor2021@gmail.com
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 ***

 Thanks: 
 ***
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.